/usr/libexec/postfix/master 是 Postfix 郵件服務器的主進程，qmgr 和 pickup 是 Postfix 的子進程。這些進程本身是正常的，但如果你懷疑服務器被用于釣魚活動，需要進一步檢查 Postfix 的配置和日志，確保它沒有被濫用。

---

1. 檢查 Postfix 配置

查看 Postfix 的主配置文件，確保其配置安全。

查看主配置文件

cat /etc/postfix/main.cf

檢查以下關鍵配置：

• mynetworks：確保只允許可信的 IP 或網絡范圍。
• smtpd_relay_restrictions：確保限制了郵件的轉發。
• smtpd_client_restrictions：確保限制了客戶端的訪問。

檢查是否允許匿名發送郵件

確保以下配置不存在或設置為 no：

smtpd_sasl_auth_enable = no

---

2. 檢查郵件隊列

查看當前郵件隊列，檢查是否有大量可疑郵件。

查看郵件隊列

postqueue -p

• 檢查是否有大量未發送的郵件，尤其是發送到未知域名的郵件。

清空郵件隊列

如果發現可疑郵件，清空隊列：

postsuper -d ALL

---

3. 檢查郵件日志

查看 Postfix 的日志，檢查是否有異常活動。

查看郵件日志

cat /var/log/maillog

或使用 grep 過濾關鍵字：

grep -E 'warning|error|relay|phish|spoof' /var/log/maillog

• 檢查是否有大量郵件發送到未知域名。
• 檢查是否有郵件被標記為垃圾郵件或釣魚郵件。

---

4. 檢查發件人地址

釣魚郵件通常會偽造發件人地址。檢查 Postfix 是否允許偽造發件人。

檢查?smtpd_sender_restrictions

確保以下配置存在：

smtpd_sender_restrictions = reject_unknown_sender_domain

---

5. 檢查網絡連接

檢查 Postfix 是否與可疑的外部 IP 地址建立連接。

查看 Postfix 的網絡連接

netstat -tunap | grep postfix

• 檢查是否有連接到未知或可疑的 IP 地址。

阻止可疑 IP

如果發現可疑 IP，使用防火墻阻止：

iptables -A INPUT -s <可疑IP> -j DROP

---

6. 檢查郵件內容

如果懷疑郵件內容涉及釣魚活動，可以檢查郵件內容。

查看郵件內容

郵件通常存儲在 /var/spool/postfix 目錄下。使用以下命令查看：

cat /var/spool/postfix/<郵件文件>

• 檢查郵件內容是否包含釣魚鏈接或惡意附件。

---

7. 停止 Postfix 服務

如果確認 Postfix 被濫用，立即停止服務。

停止 Postfix

systemctl stop postfix

禁用 Postfix

systemctl disable postfix

---

8. 修復和加固

更新 Postfix

確保 Postfix 是最新版本：

yum update postfix

配置 SPF、DKIM 和 DMARC

啟用 SPF、DKIM 和 DMARC 記錄，防止郵件偽造。

啟用防火墻

確保防火墻僅允許必要的端口（如 25、465、587）。

---

9. 監控和審計

• 部署日志分析工具（如 ELK Stack）實時監控郵件日志。
• 定期進行安全審計，檢查 Postfix 的配置和活動。

---

總結

1. 檢查 Postfix 配置，確保其安全性。
2. 查看郵件隊列和日志，查找異常活動。
3. 檢查網絡連接，阻止可疑 IP。
4. 停止或禁用 Postfix 服務（如果確認被濫用）。
5. 更新 Postfix 并啟用 SPF、DKIM 和 DMARC。
6. 部署監控工具，定期審計。